¿Es seguro usar la suma de comprobación SHA1 de una contraseña como clave para SHA-1?

Question

¿Es seguro usar la suma de comprobación SHA1 de una contraseña como clave para SHA-1?

#1 de Nic Barker (1 votos)

0

Tengo un sistema de autenticación, donde las contraseñas se almacenan con bcrypt hash (módulo de pasaporte de nodo).

Mi servidor genera una clave aleatoria (128 bytes) en el inicio.

Cada vez que un usuario inicia sesión, el servidor calcula el SHA-1 de su contraseña (justo después de una autenticación exitosa), lo cifra utilizando AES con la clave generada aleatoriamente, y la almacena temporalmente en una base de datos, junto con el otro hash .

Esta suma SHA-1 se usará como una clave AES para cifrar / descifrar la información del usuario que se almacenará en la misma base de datos.

¿Este método es seguro?

aes sha bcrypt

pregunta Luis Sieira 28.08.2015 - 00:13

fuente

1 respuesta

Lea otras preguntas en las etiquetas aes sha bcrypt

Interceptar el tráfico http / https de Android con acceso de shell [cerrado] Es un servidor en la nube sin HTTPS seguro

score 1 · Accepted Answer

La respuesta general a esto es correcta: si su servidor está almacenando una copia de una clave que se utiliza para cifrar algo en la memoria, existe la posibilidad de que un exploit permita que sea robado. (Ver: corazón sangrado)

Creo que definitivamente vale la pena preguntar en este caso por qué necesita almacenar un hash y una versión cifrada de la contraseña. Puedo ver un sistema en el que estás iniciando sesión en otro servicio en nombre de un usuario y necesito su contraseña, pero como mencionas:

y lo almacena temporalmente en una base de datos, junto con el otro hash

Sospecho que este no es el caso. Hay argumentos muy fuertes para no usar un algoritmo reversible para almacenar contraseñas en una base de datos web, y me gustaría entender su razonamiento para querer hacerlo.